Trojaner
|
Trojaner Obfuscated-Swizzor-Lop-Netpumper-MessengerPlus!3 - Anti-LeechBEISPIEL Verzeichnis von C:\Dokumente und Einstellungen\Username\Anwendungsdaten 23.06.2006 22:39 -DIR- CLOCKA~1 clockamenpeak 21.06.2006 06:41 -DIR- NETPUM~1 NetPumper Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 25.04.2006 17:27 -DIR- MESSEN~1 Messenger Plus! 16.06.2006 17:06 -DIR- ONLINE~1 online okay each axis Verzeichnis von C:\WINDOWS\tasks 24.06.2006 12:00 262 A827088B9184BF9F.job 2006-07-28 23:20 -------- d-------- C:\Programme\Messenger Plus! Live 2006-07-28 23:20 -------- d-------- C:\Programme\curbboobcomp 2006-07-28 23:13 -------- d-------- C:\Programme\MessengerPlus! 3 c:\dokumente und einstellungen\all users\startmenü\programme\netpumper C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper C:\Programme\NetPumper C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Application.dll C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Audio.dll C:\Programme\Netscape\Netscape\plugins\NPNetPumper_Video.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! C:\Programme\Messenger Plus! Live C:\Programme\MessengerPlus! 3 HKEY_CURRENT_USER\Software\Patchou\MsgPlus2 C:\Programme\Anti-Leech HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALNN Zitat Messenger Plus! 3 von msgplus.net heruntergeladen. Installiert - natürlich mit der Sponsoring-Option. Das Ding verändert meine Startseite und ballert mich mit PopUps zu. Außerdem legt es ein paar unnütze Verknüpfungen auf meinem Desktop ab und beschert mir beim IE mehrere "hübsche" Werkzeugleisten. In den Favoriten werden Links zu Online-Casinos und verschiedenen Online-Shops eingefügt. Ich mag das nicht, also wird es deinstalliert - aber erstmal nur die Sponsorensoftware. Doch das Programm mag das irgendwie nicht... es stürzt bei dem Versuch ab [ 1.] - Versteckte- und Systemdateien sichtbar machen... weiter [ 2. ] - CleanUp...anwenden... weiter [ 3. ] BEISPIEL: - öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
[ 4. ] PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen. Es kommt dann folgende Fehlermeldung:
[ 5. ] Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" C:\Programme\MessengerPlus! 3 - [siehe :] MessengerPlus! 3 C:\Programme\NetPumper\NetPumperIEProxy.exe C:\PROGRAMME\C2Media C:\Programme\Anti-Leech das Sponsor-Programm (siehe PopUps !! ) C:\Programme\Adverts -> [c:\programme\adverts\uninst.exe] [ 6. ] Löschen: BEISPIEL - Bezeichnungen sind in jedem Fall verschieden C:\Dokumente und Einstellungen\Username\Anwendungsdaten\clockamenpeak C:\Dokumente und Einstellungen\Username\Anwendungsdaten\NetPumper C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\online okay each axis C:\WINDOWS\System32\im_2.exe --> löschen, falls es vorhanden ist [ 7. ] -> nur XP Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) [ 8. ] löscht die Einträge in der Registry von MessengerPlus! 3 und Netpumper Counterspy/Vipre * nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu [ 9. ] scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! ) Dr.Web Cureit danach die Quarantine leeren ! Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0059986.exe Adware:Adware/Lop -> C:\Dokumente und Einstellungen\Username\DoctorWeb\Quarantine\A0061529.exe [ 10. ] scanne mit Panda und lösche alles manuell, was noch angezeigt wird Onlinescanner [ 11. ] (Beispiel) Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text in deinen Thread im Sicherheitsforum Ergebnis (Beispiel) Volumeseriennummer: 74A0-08B6 Verzeichnis von C:\WINDOWS\tasks 14.04.2006 17:00 282 A58DA13791965BA7.job BEISPIEL: .. den Task kann man nur korrekt löschen, wenn der Eintrag von findjobs.bat (siehe oben) bekannt ist !!!! In diesem Beispiel-Fall ist es A58DA13791965BA7.job , jedoch ist der Eintrag bei jeder Verseuchung mit Swizzor ein anderer. Man muss also den gleichen Eintrag in die remjob.bat einsetzen, welcher in der findjobs.bat gefunden wurde. --------------------- A58DA13791965BA7.job -Beispiel: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal [ 11. ] neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein [ 12. ] falls du mit dem IE surfst und noch nicht den Browser Firefox installiert hast, so installiere ihn. Stelle ihn als Standartbrowser ein . Der IE bleibt fuer die WindowsUpdates. Adware:Adware/Lop C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\KeepCoal.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Draw Plus Find Else\Soapglue.exe C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\balm bird stop.exe C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\oyrzmqmr.exe C:\Dokumente und Einstellungen\Username\Anwendungsdaten\once error\qpjcvenv.exe C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLYNW16N\upAYB_unk[1].int C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8ZTR744N\upAYB_unk[1].int C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\10f246.exe C:\Dokumente und Einstellungen\Userame\Lokale Einstellungen\Temp\62d114.exe C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\1b17f4.exe C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\56b624.exe C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\faad3.exe diese exe werden ständig nachgeladen, wenn man nicht alle Dateien unter "Anwendungsdaten" gelöscht hat..... H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Bagsmp3.exe H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Body debug.exe H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\dateace.exe H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Fork Bait.exe H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\intra copy.exe H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PLANRULEWAITCLOCK\Window Rdr.exe alle diese Ordner haben noch Unterordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlaySignDoesThunk\ping web.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dent32GridWin\FRAGUSER.exe C:\Dokumente und Einstellungen\Username\Anwendungsdaten\BIBBRO~1\Bird blah.exe C:\Dokumente und Einstellungen\Username\Anwendungsdaten\LOUDDR~1\Plus exit.exe "Help improve Messenger Plus"...der reinste Witz!!! da man sich mit diesem "Help" den PC verseucht....
C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll C:\WINDOWS\Downloaded Program Files\MSNPupld.inf C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\User\LOKALE~1\Temp\MsgPlusUninst.bat c:\programme\messengerplus! 3\msgplush.dll c:\programme\messengerplus! 3\detoured.dll c:\programme\messengerplus! 3\resources\msgplusres.dll c:\programme\messengerplus! 3\libsndfile.dll c:\programme\messengerplus! 3\lame_enc.dll c:\programme\messengerplus! 3\msgplus.exe c:\programme\messengerplus! 3\richedhook.dll c:\programme\messengerplus! 3\msgplusloader.dll Spyware/Adware installiert über Messenger Plus! Malware being advertised at Msgplus... weiter - advertising PrecisionTime by Gator - advertising Dashbar by Gator - "free Smileys" advertised at msgplus.net come from "Smiley Central" - PS. Patchou says he no longer advertises Smiley Central [Smiley Central are also SPAMMERS] - SpyBlocs/eBlocs - Rogue Status Update SpyBlocs and eBlocs have been on the Suspect/Rogue Anti-Spyware list since it was first published on July 26, and with good reason. Comments on the page state: aggressive, deceptive advertising; false positives work as goad to purchase C:\Dokumente und Einstellungen\Username\Anwendungsdaten\ISOBOD~1\MULTIE~1.EXE [Forintrabrowseview] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\up loud for intra\Intragrey.exe C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\Multi else.exe C:\Dokumente und Einstellungen\lllll\Anwendungsdaten\isobodypure\whjbyhdl.exe C:\Programme\Adverts\uninst.exe C:\WINDOWS\Prefetch\INTRAGREY.EXE-10365FE4.pf C:\WINDOWS\Prefetch\MULTIE~1.EXE-1852AE4F.pf |